Drata(ドラータ)は、新しいベンダーが追加されるたびに依頼が発生するベンダーのセキュリティーレビューを自動化するため、Rampとの統合を発表した。これは、調達、セキュリティー、コンプライアンスのワークフロー間のギャップを埋めることを目的としている。
この統合により、これまで頻繁に発生していた摩擦点が解消される。財務チームはRampでベンダーリクエストを送信する一方、セキュリティーおよびガバナンスチームは別のシステムでレビューを管理しており、従来はメール、チケット、スプレッドシートに頼っていた。このような分断されたワークフローは、購買プロセスの遅延、やり取りの煩雑化、デューデリジェンスが完了する前にベンダーが承認されてしまうリスクの増加につながる可能性がある。
新しい連携機能では、これまで登録されていなかったベンダーを含むRampの支出リクエストがあると、自動シーケンスがトリガーされる。Drataはベンダーレコードを作成し、Rampフォームから設定されたカスタムフィールドをベンダープロファイルにマッピングし、組織のDrataプログラム設定に従ってセキュリティーレビューを開始する。レビューがDrataで承認されると、デフォルトでは1時間ごとに承認ステータスがRampに同期されるが、手動で即座に同期することも可能だ。
舞台裏では、プロセスはシンプルな手順で進行する。Rampが新しいベンダーを検出し、統合を呼び出す。Drataはベンダーの詳細を取り込み、事前に設定された期限と必須フィールドを使って適切なレビュータイプを開始する。セキュリティーチームがレビューを完了して承認し、承認ステータスがRampリクエストにフィードバックされるため、調達部門はレビューの文書化された証拠に基づいて手続きを進めることができる。
財務・調達チームは、Ramp内でベンダー審査状況を確認できるため、セキュリティー部門への手動通知が不要になり、メリットを享受できる。セキュリティー/コンプライアンスチームは、新規ベンダー申請をDrataのベンダー審査キューに直接受け取ることができ、情報を再入力する必要はない。また、審査の種類、期限、必須項目を申請全体にわたって一貫して適用できる。
この統合により、DrataのライブラリーにあるSOC 2、ISO 27001、HIPAA、PCI DSS、GDPRなどのコンプライアンスフレームワークに準拠したベンダーデューデリジェンスがサポートされ、該当する場合には完了したレビューを証拠として使用できる。
セットアップは、ほとんどの環境で迅速に完了し、エンジニアリング作業を回避できるように設計されている。手順には、RampのIntegrationsからDrataに接続し、DrataでOAuthアプリケーションを作成し、必要なAPIスコープ(Events、VendorCreate、VendorCreateUpdate、VendorCreateAndRead、VendorSecurityReviews)を持つアプリケーションをDrataで作成し、認証情報をRampにコピーすることが含まれる。統合を自動的に実行できるように、Drataプログラムは、目的のレビュータイプ、期限、およびフィールドマッピングで構成する必要がある。
統合は新規ベンダーに対してのみトリガーされ、既存ベンダーからのリクエストは既存のワークフローに沿って継続される。手動同期は即時ステータス更新に使用でき、DrataプログラムによってRampフォームのどのフィールドをDrataベンダーフィールドにマッピングするかを制御できる。
RampとDrataの連携機能が既に利用可能で、両製品を利用中の組織は、Drataの「Settings」 → 「Integrations」を開き、Rampを選択して設定を開始することで、連携機能を有効にできる。
出典:Drata
この製品の詳細については、Drata製品ページをご覧ください。
